预言机漏洞致900万美金损失:Bonzo Lend事件深度解析

DeFi借贷协议因价格操纵被掏空:一场由预言机失效引发的危机

在近期针对基于Hedera网络的借贷平台Bonzo Lend的攻击中,约900万美元资产被非法提取。攻击者利用了用作抵押品的SAUCE代币价格被恶意操纵的漏洞,仅以价值几美元的250枚代币作为本金,便诱导系统将其估值抬升至原值的十亿倍以上。随后,该账户从资金池中借出663万枚USDC及3450万枚封装HBAR,造成巨额损失。据初步报告,此次事故根源在于Supra链上预言机验证器接受了未签名的异常价格更新,导致系统错误认定抵押品具备支撑大额贷款的能力。

价格信号失真如何让借贷协议瞬间崩溃?

在去中心化金融体系中,预言机负责提供真实市场数据,一旦其输入被篡改,整个协议的信任基础将被瓦解。即使借贷逻辑本身健全,若系统误信虚假的抵押品价值,仍会无差别释放流动性。本案例中,攻击者无需突破智能合约或网络层,仅通过伪造价格路径即可触发超额借贷机制。这暴露了当前多数协议对价格来源过度依赖的结构性风险——即便设置了严格的贷款价值比和清算阈值,也无法抵御来自外部数据源的欺骗性输入。

投资者应重新评估协议背后的安全架构

Bonzo事件不仅是一次技术故障,更是一记警钟:投资者在选择借贷项目时,必须超越表面收益率与锁仓量,深入考察其底层定价机制的健壮性。关键考量包括预言机数据来源的多样性、签名验证流程的严格性、抵押品上限设定的合理性以及紧急暂停能力的存在与否。这些因素共同构成了抵御“低投入高索取”型攻击的第一道防线。

行业安全趋势:从代码审计转向基础设施防御

此事件是2026年第二季度超过80起重大漏洞利用的一部分,当季共发生121起攻击,累计损失达9.42亿美元。其中,跨链桥漏洞占3.51亿美元,而由管理员密钥泄露与价格操纵引发的损失占比高达37%。数据显示,行业总锁仓价值已从年初的1150亿美元降至700亿以下,下降幅度达39%。这一趋势表明,用户信心正因反复出现的基础设施级风险而动摇。尤其对于小型协议而言,若无法保障抵押品定价可信,其借贷功能的可持续性将面临根本质疑。

历史重演:Stellar平台也曾遭遇相似攻击

早在今年2月,Stellar网络上的YieldBlox DAO也经历了类似手法的攻击,攻击者通过操控USTRY代币的价格路径,成功窃取约1000万美元。两起事件高度相似,反映出一个普遍问题:任何依赖外部价格系统的协议都存在被操纵的潜在可能。无论是交易所、做市商还是机构参与者,均需意识到,即便合约代码经过审计,只要其依赖的预言机链路存在弱点,整体安全性依然岌岌可危。因此,强化预言机验证机制、设置断路器、引入快速熔断功能,已成为所有借贷协议不可回避的核心设计要求。唯有构建抗操纵的定价基础设施,才能真正实现去中心化金融的规模化发展。